這個(gè)月帶給你的是網(wǎng)站繞過認(rèn)證漏洞。為了更好的保證業(yè)務(wù)管理系統(tǒng)的安全保護(hù),基本上每個(gè)系統(tǒng)軟件都有各種認(rèn)證功能。常見的認(rèn)證功能有賬號(hào)密碼認(rèn)證、驗(yàn)證碼短信認(rèn)證、JavaScript數(shù)據(jù)信息內(nèi)容認(rèn)證和服務(wù)器端數(shù)據(jù)信息內(nèi)容認(rèn)證。但是,編寫代碼的技術(shù)人員很可能在身份驗(yàn)證方法方面存在不足,這可能會(huì)導(dǎo)致他們被繞過。所以本文總結(jié)了以下幾種繞過認(rèn)證的姿勢,和大家一起探討。
Pc客戶端驗(yàn)證繞過
客戶端校驗(yàn)是一種常見的校驗(yàn)方式,也就是說在pc客戶端對(duì)客戶的輸入進(jìn)行校驗(yàn),將校驗(yàn)結(jié)果作為基本參數(shù)發(fā)送給服務(wù)器,或者使用web前端語言限制客戶的非法輸入和應(yīng)用。該類的測試方法可以通過更改web前端語言或篡改傳輸數(shù)據(jù)中的基本參數(shù)來繞過身份驗(yàn)證。
示例:
A)觀看視頻前需要購買一個(gè)系統(tǒng)軟件,不同的課程內(nèi)容以id地址劃分。
b)。弄清楚支付是否只在web前端原生js調(diào)整,改變courseID就能看到不同的課程內(nèi)容。recordURL是指在線視頻觀看的超鏈接,無需登錄即可播放。
c)根據(jù)網(wǎng)絡(luò)電影中的視頻碼,可以獲取詳細(xì)地址3360進(jìn)行在線視頻觀看。
獲得url是視頻在線觀看的詳細(xì)地址。
d)根據(jù)代碼,可以在線觀看網(wǎng)站視頻。
客戶端身份驗(yàn)證個(gè)人信息泄露
程序員在編寫認(rèn)證程序代碼時(shí),很有可能會(huì)將認(rèn)證信息內(nèi)容立即泄露到pc客戶端,攻擊者可以根據(jù)對(duì)服務(wù)器返回的數(shù)據(jù)信息的深入分析,立即得到核心的認(rèn)證信息內(nèi)容,然后進(jìn)行認(rèn)證。
示例:
當(dāng)需要完全免費(fèi)的wifi接入時(shí),必須應(yīng)用發(fā)送到手機(jī)的密碼來完成認(rèn)證。在抓取發(fā)送登錄密碼的數(shù)據(jù)文件時(shí),發(fā)現(xiàn)登錄密碼被返回到pc客戶端,導(dǎo)致各大網(wǎng)站賬號(hào)都可以登錄連接的網(wǎng)絡(luò)。
客戶端進(jìn)程調(diào)整繞過
當(dāng)程序員編寫認(rèn)證程序代碼時(shí),很可能會(huì)將認(rèn)證效果返回給pc客戶端,pc客戶端根據(jù)服務(wù)器提供的認(rèn)證效果完成下一個(gè)應(yīng)用,攻擊者可以根據(jù)篡改認(rèn)證效果或者立即實(shí)現(xiàn)下一個(gè)應(yīng)用來繞過它。
示例:
A)系統(tǒng)軟件密碼重置需要三個(gè)過程。第一步,輸入圖形驗(yàn)證碼。
b)。然后需要根據(jù)驗(yàn)證碼短信認(rèn)證真實(shí)身份。
d)。您可以成功更改您的密碼和登錄密碼。
應(yīng)用目標(biāo)篡改旁路
如果應(yīng)用程序選擇連續(xù)的真實(shí)身份驗(yàn)證措施或真實(shí)身份驗(yàn)證過程與操作過程分離,它可以嘗試在身份認(rèn)證過程中改變真實(shí)身份驗(yàn)證目標(biāo)或應(yīng)用程序目標(biāo)可以完成旁路認(rèn)證。
示例:
a)更改系統(tǒng)軟件綁定的手機(jī)號(hào)碼。b)。挑選和接收電話驗(yàn)證碼的變化完全免費(fèi)。c)將更改后的手機(jī)號(hào)改為自己的手機(jī)號(hào)。d)根據(jù)變更后的手機(jī)號(hào)碼接收到的校驗(yàn)碼,變更手機(jī)號(hào)碼。e)。發(fā)現(xiàn)可以順利換一個(gè)全新的手機(jī)號(hào)?;緟?shù)篡改,程序員在編寫認(rèn)證程序代碼時(shí)大概會(huì)檢查驗(yàn)證碼的短信字段名的準(zhǔn)確性,但是當(dāng)驗(yàn)證碼的短信字段名不存在或者為空時(shí),就會(huì)馬上檢查。如果你的網(wǎng)站存在邏輯漏洞,又不知道如何檢測修復(fù),可以找專業(yè)的網(wǎng)站安全公司處理。國內(nèi)的SINE安全,綠色聯(lián)盟,鷹盾安全,深信服,金星都挺好的。
我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!